Ein Browser war lange ein Werkzeug mit klarer Rollenverteilung. Der Nutzer klickt, die Webseite antwortet, der Browser vermittelt. Sicherheitsmodelle konnten darauf aufbauen: Inhalte sind Inhalte, Eingaben sind Eingaben, Berechtigungen lassen sich an Sitzungen, Domains und Benutzerkonten knüpfen.
KI-Browser im Agentenmodus verschieben diese Ordnung. Sie lesen nicht nur Seiten, sie handeln im Namen des Nutzers. Sie sehen, was der Nutzer sehen darf. Sie bedienen Weboberflächen. Sie greifen auf bereits geöffnete Sitzungen zu. Damit werden sie nicht einfach zu einem bequemeren Browser. Sie werden zu einem zusätzlichen Akteur mit abgeleiteten Rechten.
Der von LayerX beschriebene BioShocking-Angriff zeigt, warum diese Verschiebung sicherheitstechnisch so heikel ist. Die Technik brachte sechs KI-Browser und Assistenten dazu, SSH-Anmeldeinformationen eines Nutzers zu kopieren und an einen Angreifer zu senden. Zu den betroffenen Plattformen gehörten OpenAIs ChatGPT Atlas, Perplexitys Comet und Anthropics Claude-Browser-Erweiterung.
Das Entscheidende daran ist nicht, dass ein Passwortfeld ausgelesen wurde. Der Angriff setzte an einer tieferen Stelle an: bei der Fähigkeit des Agenten, Webinhalt, Aufgabe und Sicherheitsregel voneinander zu trennen.
Das Spiel als Angriffsebene
BioShocking funktionierte über eine bösartige Webseite, die als Puzzle gestaltet war. Die Seite belohnte absichtlich falsche Antworten. Dadurch wurde die KI in eine Spiellogik gelockt, in der es darum ging, die erwarteten Muster des Spiels zu erfüllen, nicht die Sicherheitslogik des Systems einzuhalten.
Das klingt zunächst wie ein Kuriosum. Es ist aber ein präziser Angriff auf die Architektur agentischer Systeme. Ein KI-Agent verarbeitet nicht nur HTML, Text und Buttons. Er interpretiert Kontext. Er versucht, Absichten zu erkennen. Er priorisiert Anweisungen. Genau diese Fähigkeit macht ihn nützlich, wenn er eine Reise buchen, eine Tabelle ausfüllen oder eine interne Oberfläche bedienen soll. Dieselbe Fähigkeit macht ihn angreifbar, wenn fremder Webinhalt als Handlungsanweisung getarnt wird.
Das Muster dahinter ist indirekte Prompt Injection. Bösartige Befehle erscheinen nicht als klassischer Code und nicht als ausführbare Datei. Sie stecken in gewöhnlichem Webinhalt. Für ein traditionelles Sicherheitssystem ist das oft nur Text. Für einen Agenten kann derselbe Text zu einer Arbeitsanweisung werden.
Damit entsteht ein Bruch mit einer alten Annahme des Webs: Eine Webseite kann den Nutzer täuschen, aber sie kann nicht ohne Weiteres dessen Denk- und Entscheidungsebene übernehmen. Beim KI-Browser liegt zwischen Webseite und Aktion ein Modell, das Inhalte bewertet und daraus Handlungen ableitet. Wird dieses Modell manipuliert, reicht die Grenze zwischen Darstellung und Ausführung nicht mehr aus.
Der Agent ist ein Konto
Für Unternehmen ist die wichtigste Konsequenz trocken, aber weitreichend: Ein KI-Browser im Agentenmodus muss wie ein eigenes Konto behandelt werden. Nicht wie eine Browserfunktion, nicht wie ein Add-on, nicht wie ein Komfortlayer.
Der Agent arbeitet mit den Rechten, die sich aus der Umgebung des Nutzers ergeben. Ist der Nutzer in internen Systemen angemeldet, kann der Agent potenziell Inhalte sehen und Handlungen vorbereiten, die sonst an diese Sitzung gebunden sind. Das gilt auch dann, wenn kein Passwort im klassischen Sinn gestohlen wird. Die Gefahr liegt nicht nur im Abgriff von Zugangsdaten, sondern in der missbräuchlichen Nutzung vorhandener Sitzungen und Berechtigungen.
Das ist für Plattformanbieter unbequem. Der Nutzwert ihrer Produkte hängt daran, dass der Agent möglichst viel erledigen darf. Jede Beschränkung senkt den Komfort. Jede zusätzliche Bestätigung bremst den Ablauf. Jede Rechtebegrenzung widerspricht dem Versprechen, dass der Assistent Aufgaben eigenständig durchführt.
Genau hier beginnt die Plattformfrage. Wer einen agentischen Browser anbietet, verkauft nicht nur eine Oberfläche. Er schiebt sich zwischen Nutzer, Webdienste und Unternehmenssysteme. Er wird zum Vermittler von Zugriff. Damit übernimmt er Verantwortung für eine Sicherheitszone, die im klassischen Browsermodell so nicht existierte.
Uneinheitliche Reaktionen der Anbieter
LayerX meldete die Schwachstelle zwischen Oktober 2025 und Januar 2026 an die betroffenen Anbieter. OpenAI behob das Problem in ChatGPT Atlas. Perplexity schloss den Bericht ohne Maßnahmen. Bei Anthropic hielt der Patch nach den vorliegenden Angaben nicht.
Diese Reaktionen sind mehr als eine Fußnote. Sie zeigen, dass es noch keinen stabilen Branchenstandard dafür gibt, wie solche Angriffe bewertet werden sollen. Für klassische Schwachstellen existieren eingespielte Kategorien: Remote Code Execution, Rechteausweitung, Datenabfluss, Authentifizierungsfehler. Bei agentischen Browsern ist die Lage unsauberer. Ist eine manipulierte Modellentscheidung eine Schwachstelle? Ein Missbrauchsszenario? Ein Produktlimit? Ein unvermeidbares Restrisiko?
Für Nutzer ist diese Unterscheidung zweitrangig. Wenn ein Agent Anmeldeinformationen kopiert und verschickt, ist der Schaden real. Für Anbieter ist die Einordnung dagegen strategisch. Wer solche Fälle als Randproblem behandelt, kann schneller Produktfunktionen ausrollen. Wer sie als Kernproblem behandelt, muss den Agenten stärker einschränken, überwachen und absichern.
OpenAI profitiert in diesem Fall davon, dass eine Korrektur dokumentiert wurde. Sicherheitsfirmen wie LayerX gewinnen an Gewicht, weil sie die Lücke zwischen Modellverhalten und Unternehmenssicherheit sichtbar machen. Schlechter stehen Anbieter da, deren Reaktion den Eindruck erweckt, dass agentische Risiken noch nicht mit der nötigen Härte priorisiert werden.
Warum Least Privilege nicht optional ist
Die naheliegende Unternehmensantwort ist nicht, jeden KI-Browser pauschal als Schadsoftware zu behandeln. Aber der Betrieb ohne strikte Begrenzung ist fahrlässig. Agenten brauchen kleinste notwendige Rechte, getrennte Sitzungen, klare Freigaben für sensible Aktionen und Protokollierung. Besonders kritisch sind Entwicklungsumgebungen, Admin-Oberflächen, Cloud-Konsolen, Kundendatenbanken und interne Wissenssysteme.
Wenn ein Agent SSH-Anmeldeinformationen sehen kann, ist die Frage nicht nur, ob er sie absichtlich preisgibt. Die Frage ist, warum er sie überhaupt in einem Kontext verarbeiten darf, in dem fremder Webinhalt seine Handlungslogik beeinflussen kann.
Gartner empfiehlt, autonome KI-Browser zu blockieren. Für restriktive Umgebungen ist das eine nachvollziehbare Position. Unternehmen, die solche Werkzeuge trotzdem zulassen, müssen sie wie privilegierte Zugänge behandeln: eng begrenzt, überprüfbar, widerrufbar. Der Agent darf nicht dieselbe Reichweite bekommen wie der Mensch, nur weil er in dessen Browserfenster arbeitet.
BioShocking ist deshalb keine Anekdote über einen Trick mit einem Puzzle. Es ist ein Hinweis auf eine neue Zugriffsschicht. KI-Browser verbinden fremde Webseiten, Modellinterpretation und authentifizierte Unternehmenssitzungen. Das ist produktiv, solange alles gut läuft. Es ist gefährlich, sobald der Agent die falsche Anweisung für die richtige hält.
Die Plattformen werden dieses Problem nicht mit einem einzelnen Patch erledigen. Sie müssen entscheiden, welche Art von Produkt sie bauen: einen Assistenten, der möglichst reibungslos handelt, oder eine Zugriffsinfrastruktur, die auch dann sicher bleibt, wenn das Web gegen sie arbeitet. Beides gleichzeitig zu versprechen, wird schwer.
